La ingeniería social está muy presente en la red. Un ejemplo claro es el del vuelo MH370 de Malaysia Airlines, que desapareció en 2014 en el Océano Índico.
Minutos después de la confirmación aparecieron mensajes en las redes sociales: “MH370 hallados en el mar, un impactante vídeo recién emitido por la CNN”. Pero la CNN no había publicado ningún vídeo. Era un caso de phishing de manual.
Segundos después de que los internautas hiciesen clic en los enlaces fraudulentos que se hacían pasar por la CNN, su dispositivo ya estaba infectado con malware. Los virus se expandieron como la pólvora, y todo porque alguien se hizo pasar por un servicio de confianza, los informativos de Cable News Network, conocida televisión estadounidense. ¿Y si evitamos que pase?[
¿En qué consiste la ingeniería social?
La ingeniería social es una técnica de ciberdelincuencia mediante la cual los delincuentes se camuflan como personas de confianza. La definición es de Marc Goodman, autor de ‘Delitos del futuro’ (2015) y experto mundial en ciberdelitos habiendo trabajado para la Interpol y el FBI.
El objetivo de la ingeniería social suele ser infectar a los usuarios con virus, troyanos o gusanos de ordenador, o usar a la víctima como trampolín para un delito mayor. Por ejemplo, convencernos para dar acceso a nuestra empresa al delincuente.
Lo cierto es que no hace falta dispositivos digitales para usar la ingeniería social. En 2006 un señor robó en Israel un pasaporte. Abrió una cuenta en un banco de diamantes fingiendo ser un empresario rico, y pasó un año entero estrechando lazos con los empleados del banco. En 2007 se ganó su confianza, le dieron una llave de la cámara y al poco huyó con 28 millones de dólares en diamantes.
El ‘phishing’, objetivo frecuente de la ingeniería social
La mayoría de nosotros no tenemos diamantes, pero somos tan vulnerables al phishing como cualquiera. El phishing consiste en suplantar la identidad de alguien de forma electrónica. Por ejemplo, una fotografía de perfil no garantiza que estemos hablando con la persona que pensamos. A veces incluso los delincuentes se hacen pasar por nuestro banco.
En 2018 la Oficina de Seguridad del Internauta detectó una campaña de envío de emails fraudulentos que fingían ser de un conocido banco español. Las víctimas hicieron clic en los enlaces e incluso ingresaron las credenciales de sesión, dando la información directamente a los delincuentes. Y los sistemas de verificación en dos pasos también pueden ser vulnerados. Un ejemplo ilustrativo:
ESTAFADOR: Hola, le llamamos del departamento de informática de su banco. Sospechamos de que acaba de ser víctima de un ataque informático. ¿Ha iniciado sesión a través de un enlace? No se preocupe. Procedemos a verificar que es usted. ¿Tiene a mano su tarjeta de coordenadas? Bien, dígame lo que aparece en la celda A09.
Usando dos veces la ingeniería social, pero empezando con una campaña de phishing, la víctima es la que aporta los datos para que se cometa le roben. La youtuber Rocío Vidal fue víctima de esto cuando una cuenta que decía ser de Twitter Oficial le solicitó el código de verificación que le llegaba vía SMS. Dio el código y empezó a ser extorsionada.
Ejemplo real de phishing suplantando a Orange
Cómo evitar ser víctimas de la ingeniería social
La parte más vulnerable de cualquier sistema somos las personas. La ingeniería social se aprovecha de esa debilidad y trata de manipularnos para que piquemos, demos información, y nos convirtamos en el aliado perfecto en un robo contra nosotros mismos. Pero hay consejos para evitarlo:
- Revisa siempre las URL o la dirección de email antes de abrirlos. Es la mejor manera de detectar el phishing. A veces el texto escrito no coincide con la dirección. Por ejemplo, si haces clic en esta dirección www.webdeverdad.com, te redirige a la home del Blog de Orange, y no a la dirección que está escrita.
- No des información comprometida por email o redes sociales. Bancos, redes sociales y páginas de empresa tienen portales específicos con campos que cumplimentar. Fuera de ellos, desconfía.
- Desconfía de quien te ofrece algo gratis, una oportunidad extraordinaria o te apremia a tomar decisiones rápido. La urgencia y las ganancias rápida suelen ser los anzuelos más usados.
Imágenes | iStock/Zephyr18, Orange
